Das Türkische Datenschutzrecht ist vor allem im “Gesetz zum Schutz Personenbezogener Daten” (Gesetz Nr. 6698) verfasst. Im März 2024 wurde das Gesetz umfassend revidiert, u.a. um es an die DSGVO anzugleichen. Die Anpassungen betreffen u.a. die Übermittlung von Personendaten aus der Türkei in andere Staaten. Eine solche Übermittlung ist zulässig
- in Länder mit einem Angemessenheitsbeschluss (eine Liste ist noch nicht verfügbar; Angemessenheitsentscheidungen werden aber im Amtsblatt zu veröffentlichen sein);
- auf Basis geeigneter Garantien wie Standardverträge oder BCR (zu letzteren wurden Leitlinien veröffentlicht);
- in bestimmten Ausnahmefällen (im Wesentlichen Art. 17 DSG bzw. Art. 49 DSGVO entsprechend).
Die Standardverträge der Türkischen Datenschutzaufsichtsbehörde (der KVKK; “TK-SCC”) sind im Aufbau fast identisch mit den SCC der EU-Kommission. Sie verwenden ebenfalls die bekannten vier Module, allerdings jeweils als eigener Vertrag. Es bestehen aber diverse Unterschiede, weshalb die EU-SCC nicht für Exporte aus der Türkei verwendet werden können. Anders als nach altem Recht muss die Verwendung der türkischen SCC nicht mehr von der Aufsichtsbehörde genehmigt werden. Sie muss ihr aber innerhalb von fünf Tagen nach Abschluss gemeldet werden; andernfalls ist eine Busse möglich. Auch die der Beitrtt, die Änderung und die Beendigung der TK-SCC sind meldepflichtig.
Die Änderungen sind am 1. Juni 2024 in Kraft getreten. Bestehende Regelungen zum Datentransfer blieben bis am 1. September 2024 gültig, sind inzwischen aber verfallen – das gilt offenbar auch für die ausdrückliche Einwilligung, die bisher eine stärkere Grundlage für Übermittlungen ins Ausland waren. Importeure ausserhalb der Türkei wurden und werden entsprechend von türkischen Dienstleistern und anderen Exporteuren aufgefordert, die TK-SCC abzuschliessen. Anzupassen sind auch Intragroup Data Transfer/Data Protection Agreements (IGDTA; IDPA).
Eine weitere Änderung betrifft die Bearbeitung besonders schützenswerter Personendaten (wobei die Definition mehr oder weniger jener der DSGVO entspricht, aber weiter gefasst ist – auch Angaben über Kleidung oder Aussehen oder die Mitgliedschaft in einem Verein oder einer Stiftung sind erfasst). Nach altem Recht war in der Regel eine ausdrückliche Einwilligung erforderlich; neu genügt insbesondere die gesetzliche Pflicht zur Bearbeitung, und die Bearbeitung durch Stiftungen, Vereine und NGOs wurde erleichtert.